Nambara ireo mpandresy tamin'ny Pwnie Awards 2021 isan-taona, izay manasongadina ireo fahalemena lehibe indrindra sy tsy fahombiazana amin'ny fiarovana ny solosaina. Pwnie Awards dia heverina ho mitovy amin'ny Oscars sy Golden Raspberries eo amin'ny sehatry ny fiarovana ny solosaina.
Mpandresy lehibe (Lisitry ny mpifaninana):
- Ny vulnerability tsara indrindra mitondra mankany amin'ny fisondrotry ny tombontsoa. Ny fandresena dia nomena an'i Qualys noho ny famantarana ny vulnerability CVE-2021-3156 ao amin'ny sudo utility, izay ahafahanao mahazo tombontsoa miorim-paka. Ny vulnerability dia teo amin'ny fehezan-dalΓ na nandritra ny 10 taona teo ho eo ary marihina amin'ny fahafantarana azy io dia nitaky fanadihadiana lalina momba ny lojikan'ny fitaovana.
- Bug mpizara tsara indrindra. Nahazo mari-pankasitrahana noho ny hamantarana sy hitrandraka ny bibikely be pitsiny indrindra ara-teknika sy mahaliana indrindra amin'ny serivisy tambajotra. Nomena ny fandresena tamin'ny fahafantarana ny vector fanafihana vaovao amin'ny Microsoft Exchange. Ny fampahalalana momba ny vulnerability rehetra amin'ity kilasy ity dia navoaka, fa ny fampahalalana dia efa navoaka momba ny vulnerability CVE-2021-26855 (ProxyLogon), izay ahafahanao manala ny angon-drakitra mpampiasa tsy misy fanamarinana, ary CVE-2021-27065 , izay ahafahana manatanteraka ny kaodinao amin'ny mpizara manana zon'ny mpitantana.
- Ny fanafihana kriptografika tsara indrindra. Nahazo mari-pankasitrahana noho ny famantarana ireo banga lehibe indrindra amin'ny rafitra tena izy, ny protocols ary ny algorithm encryption. Ny loka dia nomena an'i Microsoft noho ny vulnerability (CVE-2020-0601) amin'ny fampiharana sonia nomerika mifototra amin'ny curve elliptic, izay mamela ny famoronana fanalahidy manokana mifototra amin'ny fanalahidin'ny daholobe. Ny olana dia namela ny famoronana taratasy fanamarinana TLS hosoka ho an'ny HTTPS sy sonia nomerika noforonina izay nohamarinin'ny Windows ho mendri-pitokisana.
- Ny fikarohana vaovao indrindra hatramin'izay. Ny loka dia nomena ireo mpikaroka izay nanolotra ny fomba BlindSide mba hialana amin'ny fiarovana ny randomization (ASLR) mifototra amin'ny adiresy amin'ny alΓ lan'ny fivoahana amin'ny sisiny vokatry ny fanombantombanana ny fanatanterahana ny torolΓ lana.
- Ny tsy fahombiazana lehibe indrindra (Most Epic FAIL). Ny loka dia nomena an'i Microsoft noho ny famoahana imbetsaka ny fanamboarana tapaka ho an'ny vulnerability PrintNightmare (CVE-2021-34527) ao amin'ny rafitra fanontam-pirinty Windows izay namela ny famonoana kaody. Microsoft tamin'ny voalohany dia nanamarika ny olana ho eo an-toerana, saingy avy eo dia hita fa azo tanterahina lavitra ny fanafihana. Avy eo i Microsoft dia namoaka fanavaozana in-efatra, saingy isaky ny nanidy tranga manokana ny fanamboarana ary nahita fomba vaovao hanatanterahana ilay fanafihana ny mpikaroka.
- Ny bug tsara indrindra amin'ny rindrambaiko mpanjifa. Ny mpandresy dia ilay mpikaroka izay namaritra ny vulnerability CVE-2020-28341 amin'ny Samsung secure crypto processors, izay nahazo mari-pankasitrahana CC EAL 5+. Ny vulnerability dia nahafahana nitsidika tanteraka ny fiarovana ary nahazo ny fidirana amin'ny kaody mandeha amin'ny puce sy ny angona voatahiry ao amin'ny enclave, mandingana ny hidin'ny saver ecran, ary koa manova ny firmware mba hamoronana varavarana miafina.
- Ny vulnerability ambany indrindra. Nomena an'i Qualys ny mari-pankasitrahana noho ny hamantarana andianΓ vulnerabilities 21Nails ao amin'ny mpizara mailaka Exim, izay azo trandrahana lavitra ny 10 amin'ireo. Nisalasala ny mpamorona Exim fa azo trandrahana ireo olana ary mandany 6 volana amin'ny fanamboarana fanamboarana.
- Valin'ny Vendor Lamest. Fanendrena ho valin-teny tsy mety indrindra amin'ny hafatra momba ny fahalemena amin'ny vokatrao manokana. Ny mpandresy dia ny Cellebrite, orinasa iray izay mamorona fangatahana famakafakana forensika sy fitrandrahana angon-drakitra ataon'ny sampan-draharahan'ny fampiharana ny lalΓ na. Cellebrite dia tsy namaly araka ny tokony ho izy ny tatitra vulnerability nalefan'i Moxie Marlinspike, mpanoratra ny protocol Signal. Nanjary liana tamin'ny Cellebrite i Moxey taorian'ny famoahana tamin'ny haino aman-jery ny naoty momba ny famoronana teknolojia iray ahafahan'ny hacking ireo hafatra Signal encrypted, izay nivadika ho sandoka taty aoriana noho ny fandikana diso ny vaovao tao amin'ny lahatsoratra iray tao amin'ny tranokalan'ny Cellebrite. avy eo dia nesorina ("ny fanafihana" dia nitaky ny fidirana ara-batana amin'ny telefaona sy ny fahafahana manala ny efijery hidin-trano, izany hoe nihena ho amin'ny fijerena hafatra ao amin'ny messenger, fa tsy amin'ny tanana, fa amin'ny fampiasana fampiharana manokana izay mamolavola ny fihetsiky ny mpampiasa).
Nandalina ny fampiharana Cellebrite i Moxey ary nahita vulnerabilities manakiana tao izay nahafahan'ny fehezan-dalΓ na natao hovonoina rehefa manandrana mijery angon-drakitra novolavolaina manokana. Ny fampiharana Cellebrite dia hita ihany koa fa mampiasa tranomboky ffmpeg efa lany andro izay tsy nohavaozina nandritra ny 9 taona ary nahitana vulnerabilities marobe tsy voafehy. Raha tokony hanaiky ny olana sy hamaha ny olana, ny Cellebrite dia namoaka fanambarana fa miahy ny fahamarinan'ny angon-drakitra mpampiasa izy, mitazona ny fiarovana ny vokatra amin'ny ambaratonga mety, mamoaka tsy tapaka ny fanavaozana ary manolotra ny fampiharana tsara indrindra amin'ny karazany.
- Ny zava-bita lehibe indrindra. Ny loka dia nomena an'i Ilfak Gilfanov, mpanoratra ny IDA disassembler sy ny Hex-Rays decompiler, noho ny fandraisany anjara amin'ny famolavolana fitaovana ho an'ny mpikaroka momba ny fiarovana sy ny fahaizany mitazona vokatra manara-penitra mandritra ny 30 taona.
Source: opennet.ru